전체 글 (638) 썸네일형 리스트형 [메모리 포렌식] GrrCON 2015 #5 재부팅 후에도 지속성을 유지하기 위하여 사용하는 레지스트리를 찾는 문제입니다. 재부팅 후에도 지속성을 유지하는 레지스트리 키는 Microsoft\Windows\CurrentVersion\Run 레지스트리입니다. Volatility의 printkey 플러그인을 통하여 Microsoft\Windows\CurrentVersion\Run 레지스트리 하위에 존재하는 레지스트리 Key가 나옵니다. VMware User Process, MrRobot 2개의 레지스트리 키가 나오는데, 멀웨어가 사용하는 key는 MrRobot입니다. [메모리 포렌식] GrrCON 2015 #4 인젝션된 프로세스의 PID를 찾아야 합니다. volatility의 pstree 플러그인으로 프로세스 목록을 살펴보겠습니다. 위와 같이 나옵니다. 책에서는 Volutility 플러그인을 사용하여서 풀었는데, 설치 과정이 복잡하여 다른 방법을 찾아보았습니다. iexplore.exe 프로세스는 실행 시 explorer.exe 프로세스의 하위에 위치하여야 하는데, 위의 pstree에서는 독립적으로 실행되고 있습니다. 그러므로 고의적으로 악성코드에 인젝션된 프로세스임을 알 수 있습니다. iexplore.exe의 pid는 2996입니다. [메모리 포렌식] GrrCON 2015 #3 GrrCON #2에서 공격자가 AnyConnectInstaller.exe를 다운로드하도록 하였으므로, filescan 플러그인과 findstr 플러그인을 사용하여 AnyConnectInstaller.exe 문자열이 들어가 있는 파일들을 찾아줍니다. 그럼 위에서부터 AnyConnectInstaller.exe가 있는 경로들을 보여줍니다. 그럼 dumpfiles 플러그인을 통하여 해당하는 파일을 덤프해줍니다. -Q 옵션은 파일이 저장된 주소를 통하여 파일을 선택하겠다는 의미입니다. 위에서부터 덤프를 하며 VirusTotal 웹사이트에서 감염되었는지 확인해봅니다. 3df1cf00 주소에 저장된 프로그램이 바이러스에 감염된 것을 확인할 수 있습니다. 58개의 서비스에서 바이러스를 탐지하였습니다. 위와 같이 XTR.. [메모리 포렌식] GrrCON 2015 #2 GrrCON #1과 같은 파일이 주어집니다. GrrCON #1에서 구한 OUTLOOK.EXE 프로세스의 dump 내용을 확인해 보면 될 것 같습니다. KEY Format에 exe 형태의 실행프로그램이라는 힌트를 주었으니, .exe로 검색해 보았습니다. 누군가가 Mr.Wellick에게 보안을 위해 아래 링크를 다운받으라고 보낸 exe 파일을 확인할 수 있습니다. [메모리 포렌식] Volatility 프레임워크 memdump 플러그인 이번에는 Volatility의 플러그인인 memdump에 대하여 알아보겠습니다. Volatility의 vol.py -h 명령어로 매뉴얼을 살펴보면 위와 같이 적혀있습니다. 말 그대로 프로세스의 메모리를 dump하는 명령어입니다. memdump 명령어를 사용하는 방법은 아래와 같습니다. vol.py(Volatility 프레임워크) -f(파일 선택 옵션) Target1-1dd8701f.vmss(분석할 메모리 파일) --profile=Win7SP0x86(profile 지정) memdump(memdump 플러그인) -p(pid 지정 옵션) 3196(프로세스의 pid) -D(저장할 디렉토리 옵션) ./(현재 위치) 와 같은 형태로 적어주시면 됩니다. 이전 1 ··· 88 89 90 91 92 93 94 ··· 128 다음
